ランサムウェアの最新動向とXDRが導く新時代のセキュリティ対策[前編]
2024年1月16日掲載
企業に甚大な被害をもたらすランサムウェア。この記事では前後編に渡り、最新動向の解説と対策の要として浸透したEDR、そこから進化したXDRがどのような効果をもたらすかをご紹介します。前編ではランサムウェア攻撃の最新動向について解説します。
植松 元
ソフトバンク株式会社
ICTオペレーション本部 オペレーションサービス第4統括部 セキュリティサービスオペレーション部 第5課 課長
主に官公庁や通信キャリア向けのインフラ設計、構築及び運用業務に従事。その後、外資系SIerにてアーキテクト及びPMとしてネットワーク、クラウド設計業務を経て、2021年にソフトバンク入社。現在は、MSSシステム開発のマネージャーとして活動。GCFA、GCPN、CCIEなどを保持。
松本 一志
ソフトバンク株式会社
ICTオペレーション本部 オペレーションサービス第4統括部 セキュリティサービスオペレーション部 第4課 課長
大手通信キャリアをはじめとした顧客のサーバ、ネットワーク製品の構築、設計業務に従事。その後、公共機関のセキュリティアナリスト業務を経て、2020年にソフトバンク入社。マイクロソフトのセキュリティ製品を中心としたマネージドセキュリティサービス(MSS)の開発、運用のリーダーとして活動。
澤入 俊和
ソフトバンク株式会社
法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プロモーション企画課
外資系IT企業などを経て2018年にソフトバンク入社。セキュリティ領域における投資先、パートナー企業とのビジネス推進やマーケティングプロモーションを担当。講演、記事寄稿などを通したサイバーセキュリティの啓蒙活動にも注力。
深刻化するランサムウェア被害
依然として猛威を振るうランサムウェア。警察庁の調査によると、日本国内における2022年以降の被害報告は半年で100件を超える高い水準で推移しています。また、調査、復旧に1,000万円以上の費用が発生したという回答が30パーセントを占めており、ひとたび被害を受けると事業継続のために多額のコストをかける必要が生じている状況がみてとれます。このようにランサムウェア攻撃は依然として活発に行われていますが、その背景にはRaaS(Ransomware as a Service)と呼ばれる攻撃者のエコシステムが確立されたことが大きく影響しています。
[図]ランサムウェア被害の報告件数の推移
[図]調査復旧費用の総額
警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」をもとに作成
出典:https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf
RaaS:被害拡大を招いた攻撃者のエコシステム
RaaSのエコシステムは、オペレータ(RaaS 提供者)、アフィリエイター(実行犯)、IAB(イニシャルアクセスブローカー)という3つの役割で構成されています。
[図]RaaSエコシステムの構造
オペレータは、ランサムウェアや身代金をやり取りするためのプラットフォームを開発し、アフィリエイターへ提供する役割を担っています。中には攻撃や恐喝方法のマニュアルを提供するオペレータも存在します。アフィリエイターは標的企業に侵入し、ランサムウェアを操作する実行犯で、成功報酬としてオペレータから身代金の一部を受け取ります。また、IABは攻撃に必要なアクセス情報を不正に入手し、アフィリエイターに販売する役割を担っています。このように、専門知識がないアフィリエイターでもオペレータやIABからの支援を受けることで、攻撃に加担することができるようになったことも被害拡大の一因となっています。代表的なRaaSとしてLockBitやALPHV(BlackCat)が存在し、実際に日本企業での被害も発生しています。
[図]ダークウェブ上でアクセス情報を販売するIAB
[図]Lockbit3.0のリークサイトの様子
正規ツールの利用や新たな手口「ノーウェアランサム」の登場
ランサムウェア攻撃の主な手法として、まずアフィリエイターはID、パスワードや脆弱性を持ったVPN機器の情報などの不正アクセスに必要な情報をIABから購入し、標的企業のネットワークへ侵入を試みます。また、サプライチェーン攻撃と呼ばれる、セキュリティ対策の手薄な取引先や関連会社などを侵入の足掛かりに本来のターゲットへの侵入を試みるアプローチも増加しています。侵入を成功させると、Windows OSの脆弱性(例:CVE-2020-1472)などを利用して権限昇格を行い、効率的にランサムウェア感染を拡大させるためADを掌握します。
その後、グループポリシーを利用してランサムウェアを展開し、ドメインに参加している全てのコンピュータのデータを暗号化、さらにクラウドストレージへも送信します。データ送信先のクラウドストレージは、Megaなどの無料サービスが広く利用されていますが、このような正規ツールを利用することにはセキュリティソリューションに検知されてしまうことを回避する狙いもあります。
また、従来主流であった二重脅迫と呼ばれる暗号化したデータの復旧との引き換えの身代金要求と、応じない場合に窃取した情報を暴露することを組みあわせて脅す手法にも変化が見られています。最近は前者の暗号化をスキップし、後者の暴露による脅迫のみを行う「ノーウェアランサム」といった手法が確認されています。攻撃者にとっては暗号化する手間がなくなることで効率的に攻撃を行うことが可能なことに加え、暗号化のプロセスをEDRによって検知されることを避けることも可能になります。また、攻撃によりシステム利用が停止し、大きな社会的影響が発生してしまうと、取り締まりがより一層強化される恐れもあるためこれを回避する狙いもあると考えられています。
身代金支払いをめぐる法規制強化の動き
世界規模で猛威を振るうランサムウェア攻撃に対し、国内外で規制を強化する動きも進んでいます。2021年9月に改訂されたアメリカのOFCA(財務省外国資産管理局)による身代金支払いに関する制裁についての勧告では、支払いに強く反対する立場を強調し、支払いを行った組織、個人は制裁の対象になり民事罰を受ける可能性があることが警告されています。主な理由としては国際情勢が不安定な中、テロリストやテロ支援国家への資金流入を防ぐことに加え、支払い自体が追加の攻撃を助長すること、そして支払いに応じたからといってデータの回復などの約束が守られる保証がない点があげられています。
また、2023年9月にはアメリカ、イギリス両国がContiとTrickBotに関与している11名を制裁の対象とし、資産の凍結や取引の停止などを課しています。現在、日本国内においては支払いに応じても罰則が科せられる法律は存在していません。しかし、カウンターランサムウェア・イニシアティブという国際的な枠組みの第3回目の会合が2023年9月に開催され、その中で身代金支払い反対の声明が採択されました。この会合には警察庁、外務省、NISCも参加していました。このようなことからも、日本においても支払いに応じないよう求める流れは今後も強まっていくと考えられます。
まとめ
増加の一途をたどるランサムウェア攻撃。その背景にはエコシステムが確立されたことによる攻撃の効率化や手法自体の高度化、巧妙化が進んだことがあります。そして、身代金支払いによる解決は国際的に推奨されず、非現実的と言わざるを得ない状況の中、企業にはランサムウェア被害そのものを食い止めるために、より一層のセキュリティ強化が重要になっていくでしょう。
ソフトバンクでは、多彩なセキュリティサービスを揃えお客様の状況に最適なセキュリティ対策を提案いたします。詳しくはこちらからご覧いただけます。
後編のブログはこちらからご覧いただけます。ぜひ続きもご覧ください。
後編では、昨今注目を集めるXDRを検討する際に抑えておきたいポイントについて解説します。
関連セミナー・イベント
澤入俊和